{"id":946550,"date":"2023-09-11T10:07:05","date_gmt":"2023-09-11T10:07:05","guid":{"rendered":"https:\/\/teknomers.com\/es\/ciberdelincuentes-que-utilizan-powershell-para-robar-hashes-ntlmv2-de-windows-comprometido\/"},"modified":"2023-09-11T10:07:09","modified_gmt":"2023-09-11T10:07:09","slug":"ciberdelincuentes-que-utilizan-powershell-para-robar-hashes-ntlmv2-de-windows-comprometido","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ciberdelincuentes-que-utilizan-powershell-para-robar-hashes-ntlmv2-de-windows-comprometido\/","title":{"rendered":"Ciberdelincuentes que utilizan PowerShell para robar hashes NTLMv2 de Windows comprometido"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 de septiembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Seguridad de terminales\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Una nueva campa\u00f1a de ciberataque est\u00e1 aprovechando el script de PowerShell asociado con una herramienta leg\u00edtima de equipo rojo para saquear <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/troubleshoot\/windows-client\/windows-security\/enable-ntlm-2-authentication\" target=\"_blank\">hashes NTLMv2<\/a> de sistemas Windows comprometidos ubicados principalmente en Australia, Polonia y B\u00e9lgica.<\/p>\n<p>La actividad recibi\u00f3 el nombre en c\u00f3digo Steal-It de Zscaler ThreatLabz.<\/p>\n<p>&#8220;En esta campa\u00f1a, los actores de amenazas roban y exfiltran hashes NTLMv2 utilizando versiones personalizadas de Nishang <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/samratashok\/nishang\/blob\/master\/Utility\/Start-CaptureServer.ps1\" target=\"_blank\">Script de PowerShell de inicio de CaptureServer<\/a>ejecutando varios comandos del sistema y extrayendo los datos recuperados a trav\u00e9s de las API de Mockbin&#8221;, dijeron los investigadores de seguridad Niraj Shivtarkar y Avinash Kumar.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/o6a5Vxgy\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhi4CwKKVvbrabSKgZxQMtcCPSAThCFPNdROHSodr7KQwhdCVXrAi_do7ciuRA2-3QiOXhZmPJs-4if9uDqHVZ41ExgY4nnjL9T0gPjhO7VYtzE2vXXHRh9v8bTaCTixHBKbgd3P7goFMq7rhywio_HjaVvoz6X5d0H6GqIxSp3-oup5PTnmGnWhtFXjJXv\/s728-e365\/aws-d.png\" width=\"729\" height=\"90\"\/><\/a><\/center><\/section>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/samratashok\/nishang\" target=\"_blank\">Nishang<\/a> es un marco y una colecci\u00f3n de scripts y cargas \u00fatiles de PowerShell para seguridad ofensiva, pruebas de penetraci\u00f3n y formaci\u00f3n de equipos rojos.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhi1KUCpZBMTLHwJlmfrRBUr7ShLDC2B-GwZ72Zeg1GPzOPQLd1N1B6-hKFfjH0m8uuQTOXgXP8z93juedkBR5eJ-9BkiZBndLmi6VduGdDNv7r5klmOd4000kCgfjRI0_vE-y7BW_2Equdhu9kfoUlWI-veTb3NCpUrfmxzVbbRnMhWfPEh8tJLzNf_7mc\/s728-e3650\/ntlm.jpg\" alt=\"PowerShell para robar hashes NTLMv2\" border=\"0\" data-original-height=\"135\" data-original-width=\"728\" title=\"PowerShell para robar hashes NTLMv2\"\/><\/div>\n<p>Los ataques aprovechan hasta cinco cadenas de infecci\u00f3n diferentes, aunque todas aprovechan los correos electr\u00f3nicos de phishing que contienen archivos ZIP como punto de partida para infiltrarse en objetivos espec\u00edficos utilizando t\u00e9cnicas de geofencing.<\/p>\n<ul>\n<li><strong>Cadena de infecci\u00f3n por robo de hash NTLMv2<\/strong>que emplea una versi\u00f3n personalizada del script de PowerShell Start-CaptureServer mencionado anteriormente para recolectar hashes NTLMv2<\/li>\n<li><strong>Cadena de infecci\u00f3n por robo de informaci\u00f3n del sistema<\/strong>que Onlyfans atrae a los usuarios australianos para que descarguen un archivo CMD que roba informaci\u00f3n del sistema.<\/li>\n<li><strong>Cadena de infecci\u00f3n fansly whoami<\/strong>que utiliza im\u00e1genes expl\u00edcitas de modelos Fansly ucranianos y rusos para atraer a los usuarios polacos a descargar un archivo CMD que filtra los resultados del comando whoami.<\/li>\n<li><strong>Cadena de infecci\u00f3n de actualizaci\u00f3n de Windows<\/strong>que apunta a usuarios belgas con scripts de actualizaci\u00f3n de Windows falsos dise\u00f1ados para ejecutar comandos como tasklist y systeminfo.<\/li>\n<\/ul>\n<p>Vale la pena se\u00f1alar que la \u00faltima secuencia de ataque fue destacada por el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) en mayo de 2023 como parte de una campa\u00f1a APT28 dirigida contra instituciones gubernamentales del pa\u00eds.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/identity-attack-surface?source=inside\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">\u00bfConsigui\u00f3 el MFA?  \u00bfPAM?  \u00bfProtecci\u00f3n de la cuenta de servicio?  Descubra qu\u00e9 tan bien equipada est\u00e1 realmente su organizaci\u00f3n contra las amenazas a la identidad<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thehacker.news\/identity-attack-surface?source=inside\" target=\"_blank\" class=\"wn-button\">Potencia tus habilidades<\/a><\/section>\n<p>Esto plantea la posibilidad de que la campa\u00f1a Steal-It tambi\u00e9n pueda ser obra del actor de amenazas patrocinado por el estado ruso.<\/p>\n<p>&#8220;Los scripts de PowerShell personalizados de los actores de amenazas y el uso estrat\u00e9gico de archivos LNK dentro de archivos ZIP resaltan su experiencia t\u00e9cnica&#8221;, dijeron los investigadores.  &#8220;La persistencia mantenida al mover archivos desde la carpeta Descargas a Inicio y cambiarles el nombre subraya la dedicaci\u00f3n de los actores de amenazas al acceso prolongado&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/09\/cybercriminals-using-powershell-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 de septiembre de 2023\ue804THNSeguridad de terminales\/malware Una nueva campa\u00f1a de ciberataque est\u00e1 aprovechando el script de PowerShell<\/p>\n","protected":false},"author":1,"featured_media":946551,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,13476,4664,32477,4662,204398,4668,201033,4654,201031,4659,4653,4655,204399,18,118220,26365,4666,4665,201032,10365,4660,20385],"class_list":["post-946550","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-ciberdelincuentes","tag-como-hackear","tag-comprometido","tag-filtracion-de-datos","tag-hashes","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ntlmv2","tag-para","tag-powershell","tag-robar","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-utilizan","tag-vulnerabilidad-de-software","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/946550","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=946550"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/946550\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/946551"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=946550"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=946550"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=946550"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}